A Security Advisory has been posted in regards to the Adobe Reader, Acrobat and Flash Player issue discussed in the Adobe PSIRT blog on July 21 ("Potential Adobe Reader, Acrobat, and Flash Player issue", CVE-2009-1862). A critical vulnerability exists in the current versions of Flash Player (v9.0.159.0 and v10.0.22.87) for Windows, Macintosh and Linux operating systems, and the authplay.dll component that ships with Adobe Reader and Acrobat v9.x for Windows, Macintosh and UNIX operating systems. This vulnerability (CVE-2009-1862) could cause a crash and potentially allow an attacker to take control of the affected system. There are reports that this vulnerability is being actively exploited in the wild via limited, targeted attacks against Adobe Reader v9 on Windows.
We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows, Macintosh, and Linux by July 30, 2009 (the date for Flash Player v9 and v10 for Solaris is still pending). We expect to provide an update for Adobe Reader and Acrobat v9.1.2 for Windows, Macintosh, and UNIX by July 31, 2009.
Deleting, renaming, or removing access to the authplay.dll file that ships with Adobe Reader and Acrobat v9.x mitigates the threat for those products, but users will experience a non-exploitable crash or error message when opening a PDF that contains SWF content. Depending on the product, the authplay.dll that ships with Adobe Reader and Acrobat 9.x for Windows is typically located at C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll or C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll. Windows Vista users should consider enabling UAC (User Access Control) to mitigate the impact of a potential exploit. Flash Player users should exercise caution in browsing untrusted websites. Adobe is in contact with Antivirus and Security vendors regarding the issue and recommend users keep their anti-virus definitions up to date.
We will continue to provide updates on this issue via the Security Advisory section of the Adobe web site, as well as the Adobe PSIRT blog.
This posting is provided "AS IS" with no warranties and confers no rights.
jueves, 23 de julio de 2009
martes, 21 de julio de 2009
JavaScript DOM Flaw Affects Most Browsers
A security flaw in JavaScript's Document Object Model (DOM) affects most major web browsers. The flaw could be exploited to allocate large portions of memory, which could crash the applications. The flaw affects all tested versions of Internet Explorer (IE) as well as older versions of Opera, Chrome, Safari and Firefox, although the newer versions of most browsers, with the exception of IE, have been patched against the vulnerability.
More info, read:
http://www.theregister.co.uk/2009/07/17/universal_browser_crash_bug/
http://www.h-online.com/security/DOM-flaw-can-crash-many-browsers--/news/113779
http://www.g-sec.lu/one-bug-to-rule-them-all.html
More info, read:
http://www.theregister.co.uk/2009/07/17/universal_browser_crash_bug/
http://www.h-online.com/security/DOM-flaw-can-crash-many-browsers--/news/113779
http://www.g-sec.lu/one-bug-to-rule-them-all.html
Adobe distribuye una versión vulnerable de Adobe Reader Oficial
Desde la página oficial de Adobe "Get Reader" los usuarios pueden descargar la última versión 9.1 del lector de PDF. El problema es que esta versión tiene 14 fallos de seguridad. Están solucionados, y existe versión que los corrige, pero Adobe confía (sin advertirlo explícitamente) en que sean los propios usuarios los que, tras la descarga, actualicen manualmente el lector.
Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.
Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.
Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.
Esta actitud solo sería "permisible" cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc. Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox. Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación.
No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto.
Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.
Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.
Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.
Esta actitud solo sería "permisible" cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc. Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox. Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación.
No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto.
martes, 14 de julio de 2009
Zero-Day Flwa in Office Web Components ActiveX Control
Microsoft Warns of Zero-Day Flaw in Office Web Components ActiveX Control
Just one day before its scheduled security release, Microsoft has issued an advisory warning of attacks that exploit an arbitrary code execution vulnerability in the Spreadsheet ActiveX control in Microsoft Office Web Components. Attackers could use the attack to gain user rights equal
to those of the local user. The flaw affects numerous Microsoft products. The advisory includes instructions for setting the kill bit for the control in the registry.
http://isc.sans.org/diary.html?storyid=6778
http://www.microsoft.com/technet/security/advisory/973472.mspx
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://www.eweek.com/c/a/Security/Microsoft-Warns-of-New-Attack-as-Patch-Tuesday-Nears-854317/
http://www.scmagazineus.com/Another-ActiveX-zero-day-bug-from-Microsoft/article/139939/
http://www.h-online.com/security/Microsoft-warns-of-vulnerability-in-Office-Web-Component--/news/113752
http://voices.washingtonpost.com/securityfix/2009/07/microsoft_newly_discovered_ms.html
http://www.computerworld.com/s/article/9135471/Microsoft_admits_new_ActiveX_zero_day_bug?source=rss_security
Just one day before its scheduled security release, Microsoft has issued an advisory warning of attacks that exploit an arbitrary code execution vulnerability in the Spreadsheet ActiveX control in Microsoft Office Web Components. Attackers could use the attack to gain user rights equal
to those of the local user. The flaw affects numerous Microsoft products. The advisory includes instructions for setting the kill bit for the control in the registry.
http://isc.sans.org/diary.html?storyid=6778
http://www.microsoft.com/technet/security/advisory/973472.mspx
http://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
http://www.eweek.com/c/a/Security/Microsoft-Warns-of-New-Attack-as-Patch-Tuesday-Nears-854317/
http://www.scmagazineus.com/Another-ActiveX-zero-day-bug-from-Microsoft/article/139939/
http://www.h-online.com/security/Microsoft-warns-of-vulnerability-in-Office-Web-Component--/news/113752
http://voices.washingtonpost.com/securityfix/2009/07/microsoft_newly_discovered_ms.html
http://www.computerworld.com/s/article/9135471/Microsoft_admits_new_ActiveX_zero_day_bug?source=rss_security
Mozilla Firefox 3.5 en aprietos - Vulnerabilidad Publica
Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de
código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de
código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
0 Day en Microsoft Oficce Web Component
Por sorpresa, Microsoft ha publicado que se están detectando ataques contra Microsoft Office Web Components a través de Internet Explorer que permiten la ejecución de código. Este es el tercer "0 day" de Microsoft (todos con ActiveX) en mes y medio.
Microsoft Office Web Components es una colección de controles COMs (Component Object Model) que se usa para publicar contenido de Office en en la web a través de Internet Explorer. En pocas palabras, un ActiveX.
En él, existe un fallo que permite a un atacante ejecutar código arbitrario si la víctima visita una web especialmente manipulada. El software afectado es el siguiente:
* Microsoft Office XP Service Pack 3
* Microsoft Office 2003 Service Pack 3
* Microsoft Office XP Web Components Service Pack 3
* Microsoft Office 2003 Web Components Service Pack 3
* Microsoft Office 2003 Web Components para Microsoft Office 2007 Service Pack 1
* Microsoft ISA Server 2004 Standard Edition Service Pack 3
* Microsoft I ISA Server 2004 Enterprise Edition Service Pack 3
* Microsoft ISA Server 2006
* ISA Server 2006 Supportability Update
* Microsoft ISA Server 2006 Service Pack 1
* Microsoft Office Small Business Accounting 2006
Con esto, Microsoft acumula tres "0 day" sin solución. Se supone que hoy, en su ciclo habitual de actualizaciones, al menos solucionará uno de ellos. No se recordaba una actividad parecida desde el verano de 2006. Entonces, los atacantes se cebaron en Office. En aquel momento se popularizaron las amenazas directas y personalizadas contra compañías que recibían este intento de infección. Se trataba de ataques perpetrados especialmente contra ellos. Se descubrieron una media de dos vulnerabilidades por mes durante julio y agosto en Word, Excel o PowerPoint. Además, se detectaron siempre los ataques muy poco tiempo después del segundo martes de cada mes, con lo que normalmente fue necesario esperar casi todo un mes para que Microsoft cumpliese su siguiente ciclo de actualizaciones y poder estar protegido. Se observó entonces un claro cambio de tendencia en la forma en la que aparecieron estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft.
Para mitigar el problema en Microsoft Office Web Component se recomienda activar el kill bit del control ActiveX para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
Microsoft Office Web Components es una colección de controles COMs (Component Object Model) que se usa para publicar contenido de Office en en la web a través de Internet Explorer. En pocas palabras, un ActiveX.
En él, existe un fallo que permite a un atacante ejecutar código arbitrario si la víctima visita una web especialmente manipulada. El software afectado es el siguiente:
* Microsoft Office XP Service Pack 3
* Microsoft Office 2003 Service Pack 3
* Microsoft Office XP Web Components Service Pack 3
* Microsoft Office 2003 Web Components Service Pack 3
* Microsoft Office 2003 Web Components para Microsoft Office 2007 Service Pack 1
* Microsoft ISA Server 2004 Standard Edition Service Pack 3
* Microsoft I ISA Server 2004 Enterprise Edition Service Pack 3
* Microsoft ISA Server 2006
* ISA Server 2006 Supportability Update
* Microsoft ISA Server 2006 Service Pack 1
* Microsoft Office Small Business Accounting 2006
Con esto, Microsoft acumula tres "0 day" sin solución. Se supone que hoy, en su ciclo habitual de actualizaciones, al menos solucionará uno de ellos. No se recordaba una actividad parecida desde el verano de 2006. Entonces, los atacantes se cebaron en Office. En aquel momento se popularizaron las amenazas directas y personalizadas contra compañías que recibían este intento de infección. Se trataba de ataques perpetrados especialmente contra ellos. Se descubrieron una media de dos vulnerabilidades por mes durante julio y agosto en Word, Excel o PowerPoint. Además, se detectaron siempre los ataques muy poco tiempo después del segundo martes de cada mes, con lo que normalmente fue necesario esperar casi todo un mes para que Microsoft cumpliese su siguiente ciclo de actualizaciones y poder estar protegido. Se observó entonces un claro cambio de tendencia en la forma en la que aparecieron estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft.
Para mitigar el problema en Microsoft Office Web Component se recomienda activar el kill bit del control ActiveX para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
lunes, 13 de julio de 2009
Antivirus de Pago VS Gratuitos
David Hall, jefe de producto de Symantec, ha realizado declaraciones en
contra de las soluciones antivirus gratuitas. "No son suficientes para
mantener al usuario seguro". Si bien lleva razón en que los antivirus
por sí solos no son suficientes para asegurar a nadie, no es relevante
el hecho de que sean gratuitos o no. La declaración viene después de
que Microsoft lance su propio antivirus gratuito Security Essentials.
Según este ejecutivo de Symantec, los antivirus gratuitos no pueden
mantener el nivel de las suites como las que ofrece Symantec. "Si hoy
en día sólo confías en antivirus gratuitos para protegerte, no estás
obteniendo la protección que necesitas para mantenerte limpio y evitar
el robo de identidad". "Microsoft Security Essentials es una versión
'incompleta' de OneCare [producto de pago de Microsoft]... y los
usuarios no necesitan 'menos' protección, necesitan 'más'".
Obviamente el comentario proviene de alguien cuya misión es elevar las
ventas de su producto Symantec, pero no es oportuno desprestigiar
tecnología ajena para conseguirlo. Hall también reconoce lo obvio: "los
antivirus deberían ser considerados la última defensa" pero de sus
opiniones sobre los productos "gratuitos" (que considera versiones
inferiores), se puede concluir que un usuario, por el hecho de haber
comprado un antivirus, está más y mejor protegido.
¿Qué diferencia hay entre un antivirus gratuito y uno de pago?
Existen diferencias además de en el precio, pero no suelen estar en el
motor antivirus. La mayoría de los motores (tecnología de detección y
base de firmas) son compartidos entre las versiones gratuitas y las de
pago. Lo que suelen añadir las versiones de pago son capas adicionales
de protección, que pueden ser más o menos útiles para el usuario. Si nos
restringimos a la detección por motores, hoy en día, el usuario corre el
mismo riesgo de infección con un producto de pago que con uno gratuito.
En este sentido, los antivirus han perdido la batalla ante el malware,
todos por igual. Una tecnología de detección más cara no la hace
necesariamente mejor. Se paga por servicios adicionales añadidos al
motor antivirus.
El mensaje, o el titular que puede extraerse de las declaraciones de
Hall por tanto es erróneo (sobre todo el desafortunado "usar antivirus
gratuitos es peligroso"). Los antivirus gratuitos no son necesariamente
peor que los de pago, a nivel de detección. Este matiz es muy
importante. A mediados de esta década, cuando el problema del malware
fue patente, las casas antivirus accedieron a añadir nuevas capas de
protección en sus productos: cortafuegos, análisis de comportamiento,
antiphishing, antirootkit, protección de identidad, antispam... Un
producto de pago ofrece más capas de protección, y esto sin duda más
beneficioso para el usuario. Como los antivirus gratuitos suelen
prescindir de estas capas y centrarse en el "antivirus", el razonamiento
de Hall es que los antivirus gratuitos no son lo que necesita un
usuario. No hay que olvidar tampoco, que los antivirus gratuitos no
suelen ofrecer soporte.
¿Qué necesita entonces un usuario?
El caso es que en parte Hall lleva razón. El antivirus es necesario,
pero no lo más importante hoy en día para evitar el malware, y por eso
las capas adicionales son necesarias. Pero la detección de los antivirus
gratuitos es igual de pobre que la de los de pago. El hecho de añadir
tecnología de protección adicional, como cortafuegos, antispam, etc, en
forma de suites de pago, mejora la seguridad, y es el usuario el que
debe decidir qué necesita y si está dispuesto a pagar por esa protección
extra. Por supuesto, siempre teniendo en cuenta que ninguna tecnología
protege al usuario por completo: al igual que con la detección, también
los antivirus tienen serios y numerosos problemas para reconocer las
conexiones salientes no legítimas (en sus cortafuegos), para clasificar
el spam (en sus sistemas antispam), para catalogar el phishing (en sus
sistemas antiphishing) y para ofrecer ayuda útil y real a un usuario (en
sus “call centers” de soporte). El problema del malware supera a todos
en todos los aspectos.
Además, Hall también dice que las casas antivirus que ofrecen productos
gratuitos no poseen los recursos para lidiar con las amenazas de
seguridad. Esto es incompleto. Las casas antivirus con productos
exclusivamente de pago tampoco disponen de esos recursos hoy en día.
Nadie los tiene.
Conclusión
En definitiva, la realidad es que si un usuario necesita un antivirus (y
solo un antivirus) puede optar por las soluciones gratuitas porque son
igual de efectivas que el resto. Siempre podrá complementarla con otros
productos específicos de otros fabricantes que completen su seguridad.
Si quiere una suite integrada con soporte, sin duda la elección está en
los productos de pago, y en ellos encontrará un excelente escudo contra
muchas amenazas. Pero siempre deberá tener en cuenta que los antivirus
no son la solución definitiva. Hoy en día los consejos contra el
malware, por orden de importancia, podrían ser:
* No usar Windows como administrador.
* Actualizar con los parches de seguridad, tanto de programas como del
sistema operativo.
* Mantenerse informado.
Y sí, también un antivirus, un antispam, una barra antiphishing, un
antirootkit... gratuitos o no.
contra de las soluciones antivirus gratuitas. "No son suficientes para
mantener al usuario seguro". Si bien lleva razón en que los antivirus
por sí solos no son suficientes para asegurar a nadie, no es relevante
el hecho de que sean gratuitos o no. La declaración viene después de
que Microsoft lance su propio antivirus gratuito Security Essentials.
Según este ejecutivo de Symantec, los antivirus gratuitos no pueden
mantener el nivel de las suites como las que ofrece Symantec. "Si hoy
en día sólo confías en antivirus gratuitos para protegerte, no estás
obteniendo la protección que necesitas para mantenerte limpio y evitar
el robo de identidad". "Microsoft Security Essentials es una versión
'incompleta' de OneCare [producto de pago de Microsoft]... y los
usuarios no necesitan 'menos' protección, necesitan 'más'".
Obviamente el comentario proviene de alguien cuya misión es elevar las
ventas de su producto Symantec, pero no es oportuno desprestigiar
tecnología ajena para conseguirlo. Hall también reconoce lo obvio: "los
antivirus deberían ser considerados la última defensa" pero de sus
opiniones sobre los productos "gratuitos" (que considera versiones
inferiores), se puede concluir que un usuario, por el hecho de haber
comprado un antivirus, está más y mejor protegido.
¿Qué diferencia hay entre un antivirus gratuito y uno de pago?
Existen diferencias además de en el precio, pero no suelen estar en el
motor antivirus. La mayoría de los motores (tecnología de detección y
base de firmas) son compartidos entre las versiones gratuitas y las de
pago. Lo que suelen añadir las versiones de pago son capas adicionales
de protección, que pueden ser más o menos útiles para el usuario. Si nos
restringimos a la detección por motores, hoy en día, el usuario corre el
mismo riesgo de infección con un producto de pago que con uno gratuito.
En este sentido, los antivirus han perdido la batalla ante el malware,
todos por igual. Una tecnología de detección más cara no la hace
necesariamente mejor. Se paga por servicios adicionales añadidos al
motor antivirus.
El mensaje, o el titular que puede extraerse de las declaraciones de
Hall por tanto es erróneo (sobre todo el desafortunado "usar antivirus
gratuitos es peligroso"). Los antivirus gratuitos no son necesariamente
peor que los de pago, a nivel de detección. Este matiz es muy
importante. A mediados de esta década, cuando el problema del malware
fue patente, las casas antivirus accedieron a añadir nuevas capas de
protección en sus productos: cortafuegos, análisis de comportamiento,
antiphishing, antirootkit, protección de identidad, antispam... Un
producto de pago ofrece más capas de protección, y esto sin duda más
beneficioso para el usuario. Como los antivirus gratuitos suelen
prescindir de estas capas y centrarse en el "antivirus", el razonamiento
de Hall es que los antivirus gratuitos no son lo que necesita un
usuario. No hay que olvidar tampoco, que los antivirus gratuitos no
suelen ofrecer soporte.
¿Qué necesita entonces un usuario?
El caso es que en parte Hall lleva razón. El antivirus es necesario,
pero no lo más importante hoy en día para evitar el malware, y por eso
las capas adicionales son necesarias. Pero la detección de los antivirus
gratuitos es igual de pobre que la de los de pago. El hecho de añadir
tecnología de protección adicional, como cortafuegos, antispam, etc, en
forma de suites de pago, mejora la seguridad, y es el usuario el que
debe decidir qué necesita y si está dispuesto a pagar por esa protección
extra. Por supuesto, siempre teniendo en cuenta que ninguna tecnología
protege al usuario por completo: al igual que con la detección, también
los antivirus tienen serios y numerosos problemas para reconocer las
conexiones salientes no legítimas (en sus cortafuegos), para clasificar
el spam (en sus sistemas antispam), para catalogar el phishing (en sus
sistemas antiphishing) y para ofrecer ayuda útil y real a un usuario (en
sus “call centers” de soporte). El problema del malware supera a todos
en todos los aspectos.
Además, Hall también dice que las casas antivirus que ofrecen productos
gratuitos no poseen los recursos para lidiar con las amenazas de
seguridad. Esto es incompleto. Las casas antivirus con productos
exclusivamente de pago tampoco disponen de esos recursos hoy en día.
Nadie los tiene.
Conclusión
En definitiva, la realidad es que si un usuario necesita un antivirus (y
solo un antivirus) puede optar por las soluciones gratuitas porque son
igual de efectivas que el resto. Siempre podrá complementarla con otros
productos específicos de otros fabricantes que completen su seguridad.
Si quiere una suite integrada con soporte, sin duda la elección está en
los productos de pago, y en ellos encontrará un excelente escudo contra
muchas amenazas. Pero siempre deberá tener en cuenta que los antivirus
no son la solución definitiva. Hoy en día los consejos contra el
malware, por orden de importancia, podrían ser:
* No usar Windows como administrador.
* Actualizar con los parches de seguridad, tanto de programas como del
sistema operativo.
* Mantenerse informado.
Y sí, también un antivirus, un antispam, una barra antiphishing, un
antirootkit... gratuitos o no.
Suscribirse a:
Entradas (Atom)
